(1) Prevádzkovateľ
základnej služby je povinný do šiestich mesiacov odo dňa oznámenia o zaradení do
registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné
bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20
a sektorové bezpečnostné opatrenia, ak sú prijaté.
(2) Prevádzkovateľ
základnej služby je
povinný pri uzatvorení zmluvy s dodávateľom na výkon činností, ktoré priamo súvisia
s prevádzkou sietí a informačných systémov pre prevádzkovateľa
základnej služby (ďalej len „tretia strana“)
uzatvoriť
zmluvu o zabezpečení plnenia bezpečnostných opatrení
a notifikačných povinností podľa tohto zákona počas celej doby platnosti
zmluvy.
(3) Prevádzkovateľ
základnej služby je povinný dňom zaradenia do registra prevádzkovateľov
základných služieb o tejto skutočnosti informovať podnik na poskytovanie
elektronických komunikačných služieb alebo sietí podľa osobitného predpisu,[23] ku
ktorému je sieť alebo informačný systém základnej služby pripojená. Na základe
informovania podľa predchádzajúcej vety uzatvára prevádzkovateľ základnej
služby s podnikom zmluvu podľa odseku 2.
(4) Prevádzkovateľ
základnej služby je povinný informovať v nevyhnutnom rozsahu tretiu stranu
o hlásenom kybernetickom bezpečnostnom incidente za predpokladu, že by sa
plnenie zmluvy podľa odseku 2 stalo nemožným, ak úrad nerozhodne inak.
Povinnosť zachovávať mlčanlivosť tým nie je dotknutá.
(5) Ak
prevádzkovateľ základnej služby túto službu poskytuje aj v inom členskom
štáte Európskej únie, úrad v súčinnosti s príslušným orgánom tohto
členského štátu rozhodne o tom, podľa kritérií ktorého členského štátu
bude prevádzkovateľ základnej služby identifikovaný tak, aby bol jednoznačne
identifikovaný ako prevádzkovateľ základnej služby aspoň v jednom
z týchto členských štátov.
(6) Prevádzkovateľ
základnej služby je ďalej povinný
a) riešiť
kybernetický bezpečnostný incident,
b) bezodkladne
hlásiť závažný kybernetický bezpečnostný incident,
c) spolupracovať
s úradom a ústredným orgánom pri riešení hláseného kybernetického
bezpečnostného incidentu a na tento účel im poskytnúť potrebnú súčinnosť
ako aj informácie získané z vlastnej činnosti dôležité pre riešenie
kybernetického bezpečnostného incidentu,
d) v čase
kybernetického bezpečnostného incidentu zabezpečiť dôkaz alebo dôkazný
prostriedok tak, aby mohol byť použitý v trestnom konaní,
e) oznámiť
orgánu činnému v trestnom konaní alebo Policajnému zboru skutočnosti, že
bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka,
ak sa o ňom hodnoverným spôsobom dozvie.
(7) Prevádzkovateľ
základnej služby je povinný hlásiť zmeny v údajoch podľa § 17 ods. 5 do
30 dní odo dňa ich vzniku prostredníctvom jednotného informačného systému
kybernetickej bezpečnosti.
(8) Prevádzkovateľ
základnej služby nezodpovedá za škodu, ktorá vznikne inému subjektu obmedzením
kontinuity základnej služby pri riešení kybernetického bezpečnostného incidentu
spôsobom a postupom podľa § 27. Za škodu spôsobenú obmedzením
kontinuity základnej služby kybernetickým bezpečnostným incidentom plnením
povinnosti spôsobom podľa predchádzajúcej vety zodpovedá úrad.
[23] § 5 ods. 1 zákona č. 351/2011 Z. z.
v znení zákona č. 247/2015 Z. z.